GlobalProtect Benutzer werden mit der Domain "(null)" identifiziert, wenn sie authentifizierte Cookies verwenden
6077
Created On 06/21/22 01:25 AM - Last Modified 05/08/25 08:27 AM
Symptom
- Die globalprotect Benutzer werden als "(null)\uesrname" anstelle des erwarteten Domänenpräfixes oder als "(leere Domäne)" identifiziert, was dazu führt, dass der Benutzerdatenverkehr die Verweigerungsregel erfüllt
> show user ip-user-mapping all IP Vsys From User Connected GW IP IdleTimeout(s) MaxTimeout(s) --------------------------------------------- ------------------- ------- -------------------------------- ------------------------- -------------- ------------- x.x.x.x vsys1 GP (null)\user1 y.y.y.y 10359 10359
Das Problem tritt nur auf, wenn das Portal-Cookie aktiviert ist. Wenn Sie das Häkchen bei Network > > Portals > GlobalProtecct_Portal > Agent > Configs > Authentication > GlobalProtect "Cookie für Authentifizierungsüberschreibung generieren" entfernen, tritt das Problem nicht auf.
Environment
- GlobalProtect mit aktiviertem Authentifizierungs-Cookie im Portal
- Prisma Access
- PAN-OS 10.0.8
Cause
Wir haben ein Problem, das PAN-184291 in PAN-OS 10.0.11 und 10.1.6 behoben wurde, bei dem das Portal die Domäneninformationen nicht korrekt abrufen konnte, um sie an das Gateway zu senden.
Resolution
Upgrade auf PAN-OS 10.0.11 oder 10.1.6 oder höher oder
Problemumgehung
- Deaktivieren Sie die Cookie-Generierung oder generieren Sie Cookies auf dem Gateway